Russian Federation
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 51 Математика
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
The paper analyzes the model that describes the process of attacking the protected object, where closed information is stored, the model built on the basis of the apparatus of regenerating sequences of the successful completion of malicious attacks. The moments of the attacks are considered in detail. It is assumed that attacks originating from a single source are rare enough, have an isolated singled character and are quite distant in time, that is, the event of a successful attack is a rare event, but the losses upon its successful completion can be huge. For the studied characteristic there is chosen a nearest moment when the next attack is successful: this characteristic is very important with relation to the information security. Knowing the parameters of this characteristic will help, at appropriate time intervals, to take additional actions that increase the level of protection. Studies are conducted under the assumption that all characteristics of the model are heterogeneous, which more adequately corresponds to the real state in information security systems. There has been obtained an asymptotic relation for the moment of the next successful malicious attack under conditions when the time interval for analyzing the attack is constantly rising and the probability of attack is becoming less common, both values changing consistently.
information security, protected object, moment of nearest successful attack, regenerative processes, rare events
Введение
Одна из типовых моделей, описывающих процесс атак на защищаемый объект, где хранится закрытая информация, может быть описана посредством аппарата регенерирующих последовательностей успешного завершения атак. Именно, моменты реализации атак рассматриваются как точки регенерации атак, т. е. предполагается, что различные атаки независимы. Доводом в пользу справедливости данного предположения является следующая особенность атак: в системах с хорошо организованной системой обеспечения информационной безопасности (ИБ) атаки обычно происходят достаточно редко, носят изолированный единичный характер и достаточно далеко разнесены во времени. То есть соответствующий регенерирующий процесс совершения атак имеет очень малую интенсивность. Более того, вероятность успешного завершения атаки также очень мала, что позволяет говорить о факте успешного совершения атаки как о редком событии. Несмотря на малую вероятность успешного завершения атак и редкость самих атак, процесс совершения атак на объект защиты необходимо анализировать, поскольку очень часто в случае успешности атаки потери, которые понесет объект защиты, могут оказаться огромными. Это справедливо как для злоумышленных атак, так и для незлоумышленных, в частности для стихийных событий природного характера, техногенных аварий.
Таким образом, процесс совершения атак на объект защиты достаточно адекватно описывается восстанавливаемыми системами с исчезающе малой вероятностью проявления некоторого события (успешной атаки) в моменты регенерации (восстановления) процесса [1–3]. С точки зрения обеспечения ИБ наиболее важной характеристикой является ближайший момент, когда очередная атака окажется успешной. В терминологии регенерирующих процессов речь идет о моменте первого наступления некоторого (редкого) события [2]. Данная характеристика является случайной, поскольку все характеристики описанного регенерирующего процесса, вообще говоря, случайны. Тем не менее, можно оценить наиболее вероятные интервалы успешного завершения атак и предпринимать на этих интервалах дополнительные действия, повышающие уровень обеспечения защиты, например профилактические и проверочные мероприятия.
Для анализа момента возникновения редких событий в регенерирующих процессах очень часто используется известная теорема А. Д. Соловьева [4] для однородных регенерирующих процессов. Однако в системах ИБ условие однородности не выполняется по целому ряду причин, в частности, постоянно меняются характеристики атак. Это относится как к природным явлениям и техногенным событиям, так и к злонамеренным атакам, т. к. злоумышленники активны в поиске новых путей и возможностей проникновения на объект защиты. Кроме того, устаревает имеющееся программно-аппаратное и техническое обеспечение систем обеспечения ИБ. Поэтому при анализе вероятности совершения злонамеренной атаки необходимо учитывать изменяющийся нефиксированный уровень этой характеристики.
Данная работа посвящена анализу момента наступления редкого события (момента совершения ближайшей успешной атаки) на основе аппарата редких событий в регенерирующих неоднородных процессах. Работ по однородным регенерирующим процессам применительно к задачам анализа надежности систем достаточно много – перечень многих важных работ по данной тематике приведен в [2]. Результатов по использованию данного аппарата для анализа показателей ИБ найти не удалось. Работ, учитывающих неоднородность регенерирующего процесса, практически нет. Ранее авторами были опубликованы две работы по данной тематике [1, 5–7], являющиеся вспомогательными для основного результата данной работы – оценки момента первой успешной злоумышленной атаки.
Анализ асимптотического поведения момента ближайшей атаки
Введем необходимые обозначения и опишем ограничения. Полный анализ этих условий и анализ их содержания проведены в [1].
Пусть задан случайный процесс κ(t), и t0 = 0 < t1 < t2 < ... < tn < ... есть точки регенерации процесса κ(t) (моменты времени совершения действий, связанных с нарушением ИБ). Предположим, что на каждом интервале [tn – 1, tn) в некоторый момент tn – 1 + ηn (0 ≤ ηn < ξn) может произойти или не произойти некоторое событие An (в нашем случае – успешная атака, связанная с нарушением ИБ), причем событие An и величина ηn определены на классе траекторий {κ(t), tn – 1 ≤ t < tn} и, таким образом, не зависят от поведения процесса κ(t) вне промежутка [tn – 1, tn). Пусть ck есть индикатор события Ak, τn – случайный момент первого после tn – 1 появления одного из событий Ak (k ≥ n); . Введем следующие обозначения (n ≥ 1; z ≥ 0):
где M – знак математического ожидания. Заметим, что .
В дальнейшем все введенные характеристики будут являться функциями некоторого параметра (т. е. и т. д.), где Θ – некоторое множество на действительной прямой, для которого точка 0 является предельной точкой. Всюду ниже запись «γ → 0» означает, что γ → 0 так, что .
Ниже приводятся и исследуются условия, наличие которых предполагается при доказательстве основных результатов. Вся совокупность условий разбивается на группы следующим образом.
А. Существуют функции gn(γ) и m(γ) (n ≥ 1 – */ ) такие, что и при любых n ≥ 1, z > 0 существует предел
(1)
Б. Справедливо соотношение .
Прежде чем описывать остальные условия, введем обозначения (n ≥ 1, γ > 0):
.
Ниже часто для простоты вместо обозначения Si(n, γ) будет использовано обозначение Si(n).
В. Для любых γ > 0 и целых n > 0 справедливы соотношения
, (2)
где θi ≥ 0, Li(x) (x > 0) – медленно меняющаяся функция, .
При этом [5] справедливы соотношения:
Необходимо θ2 ≤ 1 и для i = 1, 2. Положим λ(γ) = min(λ1(γ), λ2(γ)).
Г. Существует предел:
.
Д. Для любого фиксированного x > 0 условие (1) выполняется равномерно по n ≤ x λ(γ), т. е.
.
E. Равномерно по k и x (a, b), где a и b (0 < a < b < + ∞) произвольные числа, для любого T ≥ 1 имеют место соотношения
(3)
(4)
где Qn(γ) = gn(γ) + qn(γ) (n ≥1), при |Nκ| < + ∞ полагаем Qn(γ) = 0 для n > |Nκ|; c(A) есть индикатор события A; множества Nk вводятся в утверждении леммы 2 [1].
Условие (3) можно заменить на следующее условие: для любого T ≥1 равномерно по k (1 ≤ k ≤ M) и x (a, b)), где a и b (0 < a < b < ∞) – любые числа, существуют пределы:
Вместо выполнения совокупности условий В и Г можно потребовать выполнение следующих более общих условий В′ и Г′.
В′. Существует функция λ(γ) (γ > 0) такая, что для любого x > 0 существуют пределы (i = 1, 2):
.
Г′. Существуют функции φ1(x), φ2(x) (x > 0) и числа γ0, А > 0 такие, что для всех x > A и i = 1, 2; j = :
причем для любого P < 1
Из условия В′ следует Справедливы соотношения (x > 0):
Можно считать, что функции ϑ1(y) и ϑ2(y) монотонно не убывают с ростом y.
Теорема. Пусть выполнены условия А, Б, В′, Г′, Д и Е. Тогда существует предел
.
Доказательство. Положим, . Имеем:
(5)
откуда следует:
(6)
Рассмотрим независимые случайные величины (СВ) со следующими распределениями (k ≥ 1, z > 0):
Из определения СВ ν имеем P(ν = k) = , откуда следует, что P(ν ≥ k) = и справедливо соотношение
(7)
Покажем вначале, что равномерно по x (a, b) (0 < a < b < ∞) справедливо соотношение (z > 0), где равномерно по x ≤ x0λ(γ) (см. Д и лемму 3 [5]), x0 – любое число, а множества Nk (k ≥ 1) вводятся в лемме 1 [5] и условии Е.
При данном фиксированном ε > 0 выберем µ ≥ 1 так, чтобы для всех n > µ и k ≥ 1 имели z (см. условие Е):
. (8)
В силу условий А, Д и леммы 1 [1] имеем: при γ→0 (z >0)
(9)
Имеем: на основе чего выводим следующие оценки:
,
где мы воспользовались тем, что при z < 1 ∞ ← l(z)< ∞ ← l(1) = 1 и ψk(z) < ψk(1) = 1, а при z > 1, в силу выпуклости вниз функций ω ← l(z) (l ≥ 1) и ψ ← k(z) (k ≥ 1) (как пределов выпуклых вниз функций φn(z) и ω ← l(z) соответственно) и условий ω ← l(0) = ψ← l(0) = 0 и ω ← l(1) = ψ← l(1) = 1, справедливы неравенства ωl(z) < z, ψ ← k(z) < z. Отсюда, в силу (10) [1] и первого соотношения в (11) [1], переходя вначале к пределу при γ → 0, затем при ε → 0, получаем:
Из (5)–(7), (9), условия В′ и (2) следует (8).
Далее, имеем (y > 0):
(10)
Воспользовавшись тем, что функция монотонно возрастает, а функция монотонно убывает, нетрудно получить соотношения
,
на основе чего, используя условие Д и (2) [5], получаем (l ≥ 1):
(11)
при γ → 0 равномерно по l ≥ 1.
Из (8), (10) и (11) выводим: равномерно по y ≤ x при γ → 0
(12)
Исследуем асимптотическое поведение при γ → 0 функции a1(z).
Имеем:
(13)
Выберем γ0 > 0 так, чтобы при |γ| < γ0 в (10) выражение было не меньше 1/2 равномерно по y > 0; последнее возможно в силу (11). Тогда, воспользовавшись (11) и (13), получаем: при |γ| < γ0
(14)
поскольку ; (в силу условия Б), в силу (1) [6] и .
Из (12) и неравенств (n ≥ 1) получаем:
на основе чего после интегрирования по частям в (11) [1] выводим
(15)
Положим (0 ≤ a < b ≤ ∞):
.
Заметим, что из (8) [1] следует: для всех n ≥ 1
,
откуда выводим: для всех k ≥ 1.
Из леммы 1 [5] следует: существует функция K(z), не зависящая от γ, и константа γ1 такие, что для всех n > 0 и γ < γ1. На основе последнего неравенства получаем: для любого ε > 0, в силу (12), условия В′ и (6), имеем
(16)
откуда, ввиду первого соотношения в (16) и неравенства (a ≥ 0), выводим: при ε → 0
(17)
Совершенно так же, как и при выводе (13), на основе (10) доказывается существование константы γ2 > 0, γ2 ≤ max(γ0, γ1), такой, что для всех γ(|γ| < γ2) и l ≥ 1
(18)
где, в силу (4) [6] и условия Д,
;
.
Заметим, что, в силу (1) [5], выбрав γ2 достаточно малым, можно сделать P1 сколь угодно близким к единице, поэтому при достаточно малых γ величина max(P1, P2) сколь угодно близка к единице.
Из (18), аналогично выводу (14), получаем: при |γ| < γ2 для всех y > 0
P(n(m(g)z)) ³ y ≤ exp{– P1 S1(y)/2 – P2 S2(y)/2}. (19)
Далее, для любого A > ε, аналогично (18), на основе первого условия Г′ получаем:
(20)
В силу (19), условия Г′ и неравенства P1S1(y) + P2S2(y) ≥ (P1 + P2) min(S1(y), S2(y)) имеем (P (P1 + P2)/2):
(21)
Из (20), (21) после интегрирования по частям на основе условия Г′ окончательно получаем:
(22)
Совершенно так же, как и выше, при доказательстве (10) на основе леммы 1 [5], показывается, что
, (23)
где равномерно по y (ε, A). Из (23), ввиду условия В′, выводим: равномерно по y (ε, A)
. (24)
Поскольку , и в силу (15)
то из (17), (22) и (24) окончательно получаем:
Аналогичное соотношение имеет место и для , что после перехода к пределу при ε → 0 и A → ∞ дает (при γ → 0)
Следствие 1. Пусть выполнены условия А, Б, В, Г, Д и Е. Тогда справедливо утверждение теоремы с .
Доказательство следует из лемм 1 и 2 [5] и теоремы.
Пример типовой модели
Приведем важный пример использования доказанной теоремы.
Пусть последовательность СВ ζn стареет с интенсивностью nb, т. е. функция распределения (ФР) Fn(t) случайной величины ζn равна Fn(t) = F(t/nb) (n ≥ 1, b > –1/a), где F(t) (F( – 0) = 0) – заданная ФР такая, что при t → ∞ · 1 – F(t)~C · t–a, 0 < a < 1 и C – некоторая константа. Далее, qn(γ) = min(1, Kn(γ) γd nt) (d > 0, –1 < t ≤ 0), где Г(x) – гамма-функция Эйлера, равномерно по n ≥ 1 и . Положим: m(γ) = γ, gn(γ) = C(Г(a))–1(γnb)a, . Тогда 0 < K < + ∞, jn(z) = j(znb).
В силу условий на ФР F(t) и тауберовых теорем имеем:
j (z) ~ 1 – C(Г(a))–1 za при z ↓ 0,
на основе чего получаем: при γ → 0 и фиксированном n ≥ 1
т. е. wn(z) = za для всех n ≥ 1 и, значит, выполнены условия А.
Так как сходимость имеет место равномерно по n ≥ 1, то при достаточно малых γ последовательность {Kn(γ), n ≥ 1} (а значит, и последовательность {Kn, n ≥ 1}) равномерно по n ограничена. Отсюда, ввиду оценки следует, что qn(γ) стремится к нулю при равномерно по n ≥ 1, т. е. выполнено условие Б.
Пользуясь соотношением (θ > –1): при и при γ → 0, выводим: при n → ∞ и γ → 0
и, следовательно,
(25)
где n0 ≥ 0 есть наибольшее n такое, что qn(γ) = 1. Далее, аналогично
(26)
Из (25), (26) следует выполнение условия В.
Функции λ1(γ) и λ2(γ) (см. лемму 1 [1]) могут быть найдены из соотношений , т. е. .
Отсюда следует выполнение условия Г с
а также справедливость соотношения .
Поскольку , то, в силу (20), и для любого x > 0 . Отсюда следует, что соотношение (25) имеет место равномерно по n ≤ xλ(γ), т. е. выполнено предельное соотношение условия Д.
Наконец, выполнение условия Е следует из того, что M = 1. При этом, в силу (16), .
Таким образом, мы показали справедливость условий А–Е, что, в силу следствия 1, влечет следующее соотношение:
Заключение
В работе проводится анализ модели, описывающей процесс атак на защищаемый объект, где хранится закрытая информация, построенной на основе аппарата регенерирующих последовательностей успешного завершения злонамеренных атак. Именно, моменты реализации атак рассматриваются как точки регенерации атак. Предполагается, что атаки, исходящие из одного источника, происходят достаточно редко, т. е. событие успешного совершения атаки является редким событием, но потери при ее успешном завершении могут быть огромными. В качестве исследуемой характеристики выбран ближайший момент, когда очередная атака, которая является одной из наиболее важных с точки зрения информационной безопасности, окажется успешной.
Исследования проводятся при предположении неоднородности всех характеристик модели, что более адекватно соответствует реальному состоянию в системах информационной безопасности.
В работе получено асимптотическое соотношение для момента совершения ближайшей успешной злонамеренной атаки в условиях, когда интервал времени, на котором проводится анализ атак, неограниченно растет, и одновременно вероятности совершения атак становятся все более редкими, причем эти величины изменяются согласованным образом. Необходимо уточнить данный результат применительно к конкретным типам объектов защиты и конкретным условиям их функционирования, что предполагается сделать в последующих работах авторов.
1. Popov G. A., Popov A. G., Laptev P. V. Formalizatsiia protsessa izmeneniia veroiatnosti narusheniia servisov informatsionnoi bezopasnosti na osnove apparata redkikh sobytii [Formalization of process of changing probability of violation of information security services based on apparatus of rare events]. Nauka, obrazovanie, innovatsii: puti razvitiia: sbornik materialov VIII Vserossiiskoi nauchno-prakticheskoi konferentsii (Petropavlovsk-Kamchatskii, 23–25 maia 2017 g.). Petropavlovsk-Kamchatskii, Izd-vo KamchatGTU, 2017. Pp. 29-34.
2. Gnedenko D. B., Solov'ev A. D. Odna obshchaia model' rezervirovaniia s vosstanovleniem [One common redundant backup model]. Izvestiia AN SSSR. Tekhnicheskaia kibernetika, 1974, no. 6, pp. 113-119.
3. Gnedenko D. B., Solov'ev A. D. Asimptoticheskaia otsenka nadezhnosti slozhnykh sistem s bystrym vosstanovleniem [Asymptotic reliability assessment of complex systems with fast recovery]. Trudy III Vsesoiuznoi shkoly-soveshchaniia po teorii massovogo obsluzhivaniia. Moscow, Izd-vo MGU, 1975. Vol. 1. Pp. 185-197.
4. Solov'ev A. D. Asimptoticheskoe povedenie momenta pervogo nastupleniia redkogo sobytiia v regeneriruiushchem protsesse [Asymptotic behavior of moment of first occurrence of rare event in regenerative process]. Izvestiia AN SSSR. Tekhnicheskaia kibernetika, 1971, no. 6, pp. 79-90.
5. Popov G. A., Popova E. A., Vasil'eva O. V. Analiz vkhodnykh uslovii v modeli informatsionnoi bezopasnosti, postroennoi na osnove apparata redkikh sobytii [Analysis of input conditions in information security model built on apparatus of rare events]. Nauchnyi vestnik Novosibirskogo gosudarstvennogo tekhnicheskogo universiteta, 2019, vol. 75, no. 2, pp. 69-88.
6. Popov G. A. Asimptoticheskoe povedenie momenta pervogo nastupleniia redkogo sobytiia v neodnorodnom regeneriruiushchem protsesse [Asymptotic behavior of moment of first occurrence of rare event in heterogeneous regenerative process]. Moscow, 2000. 46 p.